对于想要强化网络安全的企业来说，下一代防火墙（NGFW）正成为一个必要的工具。我们对下一代防火墙产品进行了评测，以帮助读者们了解采购何种产品更为适合。如下是Check Point 12610：

传统防火墙领域领导者Check Point现已推出种类繁多的下一代防火墙产品和功能。在本次评测中，我们只对Check Point 12610 NGFW设备进行了测试，在一个2U的机架内，该设备能提供多种功能，有诸多灵活的网卡扩展和配置选项。

显著特性

在我们进行的评测中，Check Point的NGFW产品是最容易使用的。界面非常强大，并易于驾驭，且长期使用Check Point的用户可即可在家进行配置并对12610设备进行管理。

Check Point 12610设备基于其软件刀片架构。这意味着用户可以选择其需要的特定功能的许可。本次评测中，我们选取的功能如下：

· 防火墙
· IPsec VPN
· 高级网络和集群
· 身份识别
· 移动接入
· 入侵防御系统（IPS）
· 应用程序管理
· URL过滤
· 反病毒程序
· 邮件安全

基本的防火墙和VPN配置选项非常强大且易安装，虽然Check Point特定的超网选项略显笨拙及难以处理，但瑕不掩瑜。高级网络和集群功能也是相当简单的。该NGFW产品功能最关键的特性是身份识别、IPS以及应用程序管理。

Check Point 12610中的身份识别功能相较于其他厂商产品中的该功能更便于设置并投入使用。它们允许用户根据自身的活动和身份使用简单的规则和策略。举个例子，可以生成规则允许某些用户有权访问特定的网站（而其他人则没这个权限）简单易操作。不过，在某些情况下，对Facebook和Linkedin这类网站进行一部分限制很可能不管用，除非对整个站点进行限制。集成Active Directory相当不费劲，不过其他目录资源就不好说了，因为这次测试没有涉及到。

与Palo Alto的应用程序管理相比，其应用程序管理规稍微逊色了些，不过Check Point的规则更容易管理以及融入整体规则集当中去。与单独的IPS相比，应用程序管理规则的登录和预警没那么强大，但其涵盖了测试过程中传送的主要的特征明显的攻击。但开启IPS规则会引起轻微的性能下降。

附加功能

12610下一代防火墙设备也像一个内容过滤网关一样涵盖了URL过滤、反病毒程序以及邮件安全功能。其中一些特性能够被关联到应用程序管理和身份识别规则当中去。

12610设备可以控制SSL以及其他加密的信息传输，其性能优于绝大部分的产品。在测试中，尽管我们注意到当大量应用程序管理规则和SSL检查协同工作的时候会有些许性能丢失，但影响不大。

总结

Check Point 12610在下一代防火墙系统是较为出色的。其功能广泛、配置灵活、且具有很高的性能和精确的应用程序识别。不过，在某些情况下，Check Point设备是受到挑战的，比如对Facebook这类应用进行‘孤注一掷’的限制，或是无法对某些程序（诸如Skype）进行适当地限制。此外，众所周知，Check Point的许可管理起来很费劲，且升级到其设备则更为困难。总的来说，该产品还是非常棒的，有着强大的特性和管理作为支撑。Check Point适用于所有规模的企业用户，对于中型和大型组织以及关键数据中心部署场景则尤为适合。